友商发布了一个威胁分析 报告,我们阐述一下从我们的角度看到的情况。
核心样本
hxxp://120.55.54.65/a7
核心样本是个 Linux Shell 文件,后续动作均由该样本完成,包括:
* 挖矿获利
* 确保资源
* 逃避检测
* 横向扩展
挖矿获利
具体的挖矿动作是由下面一组样本完成的:
* hxxps://www.aybc.so/ubuntu.tar.gz
* hxxps://www.aybc.so/debian.tar.gz
* hxxps://www.aybc.so/cent.tar.gz
样本中的挖矿配置如下:
* 矿池地址:xmr-asia1.nanopool.org:14433
* 钱包地址: